Facebook Linkedin Twitter Instagram Youtube Telegram

El malware Joker juega al escondite en Google Play

Google retira 17 aplicaciones de Google Play Store infectados por este malware 

Joker está diseñado para robar mensajes SMS, listas de contactos e información de los dispositivos, además de espiar silenciosamente a la víctima en servicios premium WAP 

Joker es una de las familias de malware más destacadas que constantemente ataca a los dispositivos Android. A pesar de que este malware en particular es bien conocido, se sigue introduciendo en el tienda oficial de aplicaciones de Google mediante el empleo de cambios en su código, métodos de ejecución o técnicas de recuperación de carga útil. 

Este software espía está diseñado para robar mensajes SMS, listas de contactos e información de los dispositivos, además de espiar silenciosamente a la víctima en servicios premium de protocolo de aplicaciones inalámbricas (WAP, por sus siglas en inglés). 

El equipo de investigación de Zscaler lleva tiempo vigilando la actividad del peligroso malware Joker. Recientemente, hemos visto cargas periódicas del malware en la tienda de Google Play. El equipo de seguridad de Android de Google, una vez que fue informado por Zscaler, tomó medidas rápidamente para eliminar las aplicaciones sospechosas (listadas más adelante) de la tienda de Google Play. 

Esto llevó a evaluar el éxito de Joker en el proceso de verificación de Google Play. Identificamos 17 desarrollos distintos subidos a Google Play en septiembre de 2020. En total, estas aplicaciones maliciosas tuvieron un total de alrededor de 120.000 descargas. 

Los siguientes son los nombres de las aplicaciones infectadas que descubrimos en la tienda de Google Play: 

  • All Good PDF Scanner 
  • Mint Leaf Message-Your Private Message 
  • Unique Keyboard – Fancy Fonts & Free Emoticons 
  • Tangram App Lock 
  • Direct Messenger 
  • Private SMS 
  • One Sentence Translator – Multifunctional Translator 
  • Style Photo Collage
  • Meticulous Scanner 
  • Desire Translate 
  • Talent Photo Editor – Blur focus 
  • Care Message 
  • Part Message 
  • Paper Doc Scanner 
  • Blue Scanner 
  • Hummingbird PDF Converter – Photo to PDF 
  • All Good PDF Scanner 

(Todas estas aplicaciones han sido ya retiradas de Google Play). 

Escenario 1: Descarga directa 

En algunas de las variantes de Joker, vimos que la carga útil era entregada a través de una URL directa recibida del servidor de comando y control (C&C). En esta variante, la aplicación infectada de la tienda de Google Play tiene la dirección de C&C oculta en el propio código con ofuscación de cadenas. Observamos que la cadena «sticker» se usaba para romper la dirección C&C y ocultarla de la simple búsqueda de grep o de cadenas. 

Una vez instalada, la aplicación infectada contacta con el servidor de C&C, que responde con la URL de una carga útil. Este archivo JSON también tiene la información relacionada con el nombre de la clase que debe ser ejecutada desde la carga final para realizar todas las actividades maliciosas. 

Al recibir la configuración JSON desde el C&C, la aplicación infectada descarga la carga útil desde la ubicación recibida y la ejecuta. 

Escenario 2: Descarga de una sola vez 

En algunas aplicaciones, observamos que, para recuperar la carga útil, la aplicación de Google Play infectada utiliza un stager payload o descarga escalonada. Aquí la aplicación infectada de la tienda de Google Play tiene la URL de la carga útil codificada en el propio código, encriptado con el Estándar de Cifrado Avanzado (AES). Al infectarse, a diferencia del escenario 1, descarga la carga útil del juego en lugar de una carga útil final. 

El trabajo de esta carga útil es sencillamente recuperar la URL de la carga útil final del código y descargarla. Junto con la descarga de la carga útil, es responsable de ejecutar igualmente de ejecutarla. 

En la descarga escalonada, también vimos algunas tácticas diferentes utilizadas por el autor del malware para ocultar la URL del payload final. Vimos casos en los que la carga final se ofusca con AES y, en algunos casos, vimos que se utilizaba una simple operación de cambio para ofuscar la URL de la carga final

En algunos casos, el URL de la carga final también estaba en texto sencillo. 

Al ejecutarse, se descarga la carga útil, que es el malware del Joker que realiza todas tipo de actividades de infección, desde suscripción a servicios SMS premium hasta actividades de spyware. 

Escenario 3: Descarga en dos etapas 

En algunos grupos de aplicaciones infectadas de Google Play, vimos descargas de payload de dos etapas utilizadas para recuperar la carga útil final. En este caso, la aplicación infectada de Google Play descarga la carga útil de la etapa uno, que descarga la carga útil de la etapa dos, que finalmente carga el payload final de Joker. Curiosamente, a diferencia de los dos escenarios anteriores, la aplicación infectada contacta con el servidor de C&C para la URL de la carga útil de la etapa uno, que la oculta en el encabezado de la ubicación de respuesta. 

Al infectar el dispositivo, la aplicación infectada descarga la carga útil de la etapa uno de la URL recibida del C&C en el encabezado de respuesta. Como en el escenario dos, el objetivo de este payload es simplemente descargar otro payload pero esta vez no será el payload final. 

Una vez ejecutada la carga de la etapa uno, descarga la correspondiente a la etapa dos. La carga de la etapa dos tiene el mismo comportamiento que la de la etapa uno. Incluye el URL codificado, que recupera la carga final. 

Detalles de la carga útil final 

Aunque estas variaciones fueron usadas por el Joker para llegar a la carga final, vimos que la misma carga final se descargó en todos los casos. 

La carga final también emplea la ofuscación de cadenas para ocultar todas las cadenas importantes. Utiliza la cadena «nus106ba» para romper todas las cadenas importantes y esconderlas de una búsqueda simple de cadenas. 

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.